Online Meetings mit Zoom

Wenn Sie Online Meetings mit Zoom datenschutzkonform veranstalten möchten, sollten Sie ein paar wichtige Punkte beachten.

Generell sind Sie mit den Überlegungen aus dem Online Meetings Artikel auf dem richtigen Weg.

In den Folgenden Überlegungen sind Sie Veranstalter oder Initiator von Online Meetings mit Zoom. Wenn Sie „nur“ Teilnehmer“ eines Zoom Meetings sind, dürfen Sie sich zurücklehnen und die das Geschehen von der anderen Seite des Zauns ansehen.

mögliche Gründe die für Zoom sprechen

Es gibt einige Gründe, die für den Einsatz von Zoom sprechen können. Sie sollten sich diese oder solche Gründe im Vorfeld überlegen und notieren. Das kann sozusagen Ihre Begründugn für die Auswahl von Zoom als Tool oder Anbieter für Ihre Online Meetings sein.

  • keine Installation von Software notwendig (funktioniert auch im Browser)
  • Geräte- und Plattformunabhängig einsetzbar (Windows, Linux, macOS, iOS, Android)
  • allgemein bekannt und weit verbreitet (international)
  • hohe Akzeptanz und Bekanntheit (keine Schulungen nötig)
  • intuitive Menüführung (keine Schulungen nötig)
  • Support und Nutzerführung in mehreren Sprachen
  • bewährte Technik vor allem bei hoher Anzahl von Teilnehmern (> 25, > 100)
  • Verschlüsselung
  • Sicherheit soll durch den Anbieter weiterhin ausgebaut werden

Zoom Pläne und Preise

Bei der Auswahl der richtigen Zoom Pläne und Preise können Sie davon ausgehen, dass Sie mindestens die Pro Version nutzen müssen.

Eine datenschutzkonforme Nutzung von Zoom ist mangels der später erwähnten notwendigen Einstellungen in der kostenlosen Variante nicht möglich.

Das bedeutet, Sie müssen für Zoom bezahlen.

Formalien eines Online Meetings mit Zoom

Wenn Sie Online Meetings mit Zoom durchführen möchte, ist das grundsätzlich möglich. Mittlerweile sogar datenschutzkonform mit dem Segen einiger Aufsichtsbehörden (Zoom für Schulen freigegeben).

Sie sollten allerdings bestimmte Formalien aus dem Datenschutz einhalten. Im Folgenden finden Sie dazu einige Punkte die Ihnen die Rahmenbedingungen für den Zoom Einsatz im Unternehmen ebnen.

Grundsätzlich sollten Sie sich die Punkte, die aus Ihrer Sicht  für den Einsatz von Zoom für Online Meetings im Unternehmen sprechen überlegen und auch dokumentieren. (Wie Sie das machen erfahren Sie im weiteren Artikel.)

Damit können Sie Ihre Entscheidung für Zoom als Tool begründen und mit Fakten untermauern.

Auftragsverarbeitungsvertrag

Da bei Online Meetings eine Verarbeitung von personenbezogenen Daten über einen Dienstleister stattfindet, benötigen Sie mit Zoom einen Auftragsverarbeitungsvertrag (AVV).

Eine Auftragsverarbeitung liegt vor, weil Ihr Dienstleister Zoom bei der Durchführung Ihrer Online Meetings personenbezogene Daten nach Ihren Weisungen verarbeitet (Art. 29. DSGVO und Art. 4 Nr. 8 DSGVO). Sie bestimmen über Zweck und Mittel der Verarbeitung.

Nach Art. 28 Abs. 3 DSGVO muss eine Verarbeitung personenbezogener Daten in Auftrag auf Grundlage eines Vertrages oder eines anderen Rechtsinstruments erfolgen. Das ist sozusagen die Vorgabe für den Abschluss eines Auftragsverarbeitungsvertrages.

Mit Anbietern innerhalb der EU ist der Abschluss eines AVV mittlerweile nicht mehr allzu problematisch. Auch mit Zoom als US-Unternehmen schließen Sie einen solchen Vertrag. Das geschieht ganz automatisch mit dem Vertragsschluss – der Auftragsverarbeitungsvertrag ist dort sozusagen integriert.

(Für größere Auftraggeber gibt es wohl auch die Möglichkeit einen individuellen Vertrag zu schließen.)

Sicherheit der Verarbeitung

Die Sicherheit der Verarbeitung nach Art. 28 Abs. 3 lit. c) DSGVO weist Zoom über eine Privacy-Shield-Zertifizierung nach. Dabei handelt es sich um einen sogenannten Adäquanzbeschluss – ein Rechtsrahmen für den Datentransfer zwischen Unternehmen in der EU und in den USA.Zusätzlcih wäre auch der Abschluss ausformulierter Standardvertragsklauseln (Verpflichtung zur Einhaltung des Europäischen Datenschutzniveaus) möglicht – sollte das Privacy Shield „kippen“, ist das wohl die Alternative.

technische und organisatorische Maßnahmen prüfen

Prüfen Sie im Rahmen der Vertragsprüfung die technischen und organisatorischen Maßnahmen des Anbieters. Vergessen Sie dabei nicht die der Unterauftragnehmer. Die Details dazu finden Sie im Auftragsverarbeitungsvertrag.

Das bedeutet, Sie gleichen die Sicherheitsanforderungen Ihres Unternehmens mit denen des Auftragsverarbeiters ab – in diesem Fall Zoom. Die Maßnahmen des Dienstleisters dürfen NICHT unter Ihrem definierten Sicherheitsniveau liegen.

Dokumentieren Sie Ihre Prüfung.

Ihr Datenschutzbeauftragter kann Ihnen dabei helfen

Informationspflichten

Geht ein Zoom Meeting von Ihnen als Initiator  / Veranstalter aus, müssen Sie die Informationspflichten als Verantwortliche Stelle nach Art. 13 DSGVO erfüllen.
Dazu müssen Sie die Meetingteilnehmer über die Verarbeitung der personenbezogenen Daten informieren. Am besten mit Datenschutzhinweisen / Informationspflichten nach Art. 13 DSGVO.
Einen passenden Text dazu finden Sie beispielsweise hier.
Für eine einfache Gestaltung könnten Sie schon in der Einladung zum Zoom Meeting per Link darauf verweisen. Dazu bauen Sie den Text einfach auf eine Seite Ihrer Webseite ein und verlinken darauf.

Dokumenation der Verarbeitungstätigkeit

Kommen Sie der Dokumenation der Verarbeitungstätigkeit nach Art. 30 DSGVO nach. Ja, das ist nervig und braucht Zeit, aber die dafür notwendigen Informationen haben Sie sowieso schon vorliegen.

Sie kennen den Zweck und können für eine mögliche Interessenabwägung sogar begründen, warum es ausgerechnet Zoom sein muss.

Aus dem Auftragsverarbeitungsvertrag mit Zoom kennen Sie die Daten, die verarbeitet werden. Der Umfang der Verarbeitung hängt davon ab, was Sie tun. Auch hier hilft ein Blick in den AVV.

Der Rest ist Standard des Verzeichnisses von Verarbeitungstätigkeiten und den Informationspflichten.

Einstellungen in Zoom

Nicht alles was technisch möglich ist, ist auch erlaubt. Stellen Sie die Einstellungen in Zoom möglichst datenschutzfreundlich ein.

Vermeiden Sie das Aufmerksamkeitstracking, Aufzeichnungen, Profilerstellung, bzw. stellen Sie sich vor der Verwendung die Frage, ob das zur Zweckerfüllung wirklich erforderlich ist.

  • Rechenzentrenauswahl (EU, Japan und Kanada / China ausschließen, USA ist Standardmäßig gesetzt)
  • Verschlüsselung (taugt für alles außer Berufsgeheimnistärger wie Ärzte, Anwälte, o.ä.)
  • Warteraumfunktion nutzen (um Zoom-Bombing / verhindert lauschen und Störungen)
  • keine Aufzeichnung (dafür braucht man immer eine Einwilligung)
  • Aufmerksamkeitsüberwachung“ („Aufmerksamkeitstracking“) deaktivieren